Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer

Publié le 06 mai 2022 à 11h15

Dans un communiqué commun, Apple, Google et Microsoft ont annoncé étendre les possibilités d’authentification sans mot de passe sur toutes leurs plateformes.

Ces efforts communs représentent une nouvelle étape importante dans l’élimination du mot de passe de nos vies, qui continue aujourd’hui d’être un risque de sécurité important.

Le mot de passe, le talon d'Achille du web

À l’occasion du Password Day 2022, Apple, Google et Microsoft ont annoncé continuer leurs efforts pour un monde sans mot de passe. Les failles des mots de passe sont connues depuis longtemps : ils sont souvent trop faibles, réutilisés sur plusieurs sites et ils peuvent être compromis si l’utilisateur est victime de phishing. Si plusieurs solutions ont été mises en place pour essayer de compenser ces faiblesses, comme la double authentification ou les gestionnaires de mots de passe, aucune ne se passait vraiment du code secret. Mais désormais, les géants de l’industrie souhaitent totalement supprimer les mots de passe du schéma d’authentification.

Pour ça, ils se baseront sur les standards de l’alliance FIDO, qui permettent de se connecter à des applications ou des sites web en utilisant l'un de ses appareils, souvent un smartphone. Si ces standards sont déjà supportés par plusieurs applications populaires, il restait nécessaire de se connecter au moins une fois avec l’aide d’un mot de passe avant de pouvoir activer la fonctionnalité de connexion passwordless. Et souvent, il était toujours proposé de se connecter avec ses identifiants classiques ou de les utiliser pour pouvoir récupérer l’accès à son compte. Une façon de faire qui permettait toujours l’exploitation des faiblesses du mot de passe, et qui sera bientôt du passé.

Un avenir sans mot de passe ?

Cette annonce signifie que toutes les plateformes majeures supporteront dans le futur l’authentification sans mot de passe : iOS, Android, Google Chrome, Safari, Edge, sans oublier les systèmes d’exploitation Windows et macOS. Les utilisateurs pourront choisir d’utiliser leur téléphone comme système d’authentification principal pour les sites et applications qu’ils utilisent. Pour se connecter, et même s’inscrire, il leur suffira de débloquer leur smartphone avec l’action qu’ils ont choisie. Leur téléphone contiendra une passkey, qui permettra au site web ou à l’application de l’authentifier dès que l’appareil est débloqué. Une façon de se connecter basée sur la cryptographie à clé publique et plus sécurisée puisqu’elle se passe des identifiants classiques.

L’annonce de l’extension du support des standards FIDO à toutes les plateformes majeures signifie que les développeurs n’auront plus besoin de proposer des façons alternatives de se connecter et pourront se contenter de mettre en place une authentification passwordless à chaque moment, aussi bien pour la création d’un compte que pour les connexions futures. Également, pour que la fonctionnalité fonctionne, il ne sera pas nécessaire d’être fidèle à une plateforme.

Vasu Jakkal, Vice-président chez Microsoft, a indiqué à The Verge qu’il sera par exemple possible de « se connecter à un navigateur Google Chrome qui tourne sur Windows en utilisant une passkey sur un appareil Apple ». Comme indiqué par Google, pas de panique si vous perdez votre téléphone : les passkeys pourront être synchronisées sur votre nouveau téléphone grâce aux sauvegardes dans le Cloud.

Ces améliorations au rang des possibilités d’authentification sans mot de passe sont prévues pour être implantées sur toutes les plateformes majeures en 2023.

Sources : The Verge, Google, FIDO Alliance

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

serged

Tout sur le smartphone… Connexions aux services, carte bancaire, passe navigo et autres…
Quand on l’a perdu, oublié ou quand on n’en a carrément pas, on fait quoi ?

gamez

mettre tous ses oeufs dans le même panier? cest pas une bonne idée.

un moment j’avais lu un article sur un dispositif lecteur d’empreintes qui se branche sur l’ordi et qui pourrait faire office de méthode d’authentification, sur smartphone le lecteur d’empreintes est déjà présent, pourquoi ne pas l’uitliser comme substitut au mot de passe?

pasmoi

Téléphone perdu, volé, en panne… et tous ces comptes seront bloqués pour toujours ! La FIDO v. 1 avait oublié cette question essentielle en 2014 et donc quasiment personne ne l’utilise. Et la FIDO v. 2 fait la même erreur des années plus tard. On nous promet depuis des années la disparition du mot de passe, mais il faut prendre un peu de recul dans les nouvelles.

Comment accéder temporairement depuis un terminal qui n’est pas le sien ? Par exemple dans un Internet café ou chez un ami qui a ou n’a pas de webcam ou autre dispositif biométrique ?

Pourtant l’idée d’utiliser des certificats est bonne. Pourquoi les lier forcément à la biométrie ? Un simple certificat PGP avec un seul mot de passe fort à retenir pourrait faire l’affaire. À chacun de le protéger, de le sauvegarder !

xryl

Pour supprimer les mots de passe, les géants de la tech ont trouvé la parade, ils vous demandent directement votre numéro de compte bancaire. C’est bien mieux non ?

Krypton_80

« Les failles des mots de passe sont connues depuis longtemps : ils sont souvent trop faibles, réutilisés sur plusieurs sites et ils peuvent être compromis si l’utilisateur est victime de phishing. »

Les failles sont peut-être connues depuis longtemps, cependant elles ne viennent pas des mots de passe à proprement parler mais des personnes qui ne savent pas les créer/utiliser correctement, pareil avec le phishing quand on ne sait pas identifier un courriel douteux.

Bref, la faille potentielle avec les mots de passe se trouve en fait derrière le clavier. C’est un peu comme pour les accidents de la route, la cause est bien souvent derrière le volant.

FLO4

Et le jour où ton téléphone tombe en panne : t’es carotte ^^’
Je suis pour les authentifications plus sécurisé mais tu aura tjrs besoin d’un plan B.

gamez

Pourquoi les lier forcément à la biométrie ?

pour la simplicité d’utilisation?
pour l’impossibilité de regarder par dessus l’épaule du collègue et le réutiliser plus tard?
et pourquoi pas? quel inconvénient tu y trouves?
ça permet aussi de ne plus avoir à retenir de mot de passe (ni fort, ni extra-fort, ni-extra-extra fort avec melange de majuscules, minuscules, caractères spéciaux, dune longueur minimum de 547 caractères xD)

Space_Boy

L’article explique rien. Comme le téléphone va se connecter aux sites web? Faudra bien une application sur le téléphone genre Authy pour scanner un code QR ou saisir un passcode depuis le téléphone « dans » le site. Ca marche comment ce FIDO? Qui sait?
J’utilise mon GSM pour du 2FA principalement, et pour le VPN du travail (en passant par MS Authentificator).
Bien compliqué tout cela. Une webcam ou lecteur Bio aurait été plus simple non?

pasmoi

Le mot clé était pourquoi FORCÉMENT les lier à la biométrie.
Quant aux inconvénients, ils étaient dans le commentaire.

gamez

bah pour les raisons que j’ai mises dans mon commentaire.

si tu parles de ces inconvénients

Comment accéder temporairement depuis un terminal qui n’est pas le sien ? Par exemple dans un Internet café ou chez un ami qui a ou n’a pas de webcam ou autre dispositif biométrique ?

ce n’en sont pas, puisque si le système est généralisé, il n’y aura plus de mots de passe et donc forcément l’ami, ou l’internet café aura le dispositif biométrique en question.